2026-01-20

ბელგიის პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანოს გადაწყვეტილება ჯანმრთელობის შესახებ ინფორმაციაზე უკანონო წვდომისა და უსაფრთხოების ზომების შესახებ

ბელგიის პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანომ (“APD”) განიხილა ჯანმრთელობის შესახებ მონაცემებზე უკანონო წვდომის შემთხვევა და შესაბამისი გადაწყვეტილება[1] მიიღო.

საქმის ფაქტობრივი გარემოებები

საქმის ფაქტობრივი გარემოებების თანახმად, ექიმმა ორსულ ქალს (მონაცემთა სუბიექტი) პირადი მიმოწერისას გაუმჟღავნა ნაყოფის სქესი. აღსანიშნავია, რომ მონაცემთა სუბიექტს სურდა, რომ აღნიშნული ინფორმაცია მხოლოდ ბავშვის დაბადების შემდეგ გაეგო.

მონაცემთა სუბიექტმა მონაცემებზე წვდომის მოთხოვნით მიმართა საავადმყოფოს. მოკვლევის შედეგად დადგინდა, რომ ფიზიოთერაპევტმა სამჯერ განახორციელა უნებართვო წვდომა პაციენტისა და მისი ნაყოფის ელექტრონულ სამედიცინო ჩანაწერებზე (“HER”). აღნიშნულის შედეგად, მონაცემთა სუბიექტმა და ბავშვის მამამ, როგორც ბავშვის კანონიერმა წარმომადგენელმა, საჩივრით მიმართეს ბელგიის პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანოს.

საზედამხედველო ორგანოს შეფასება

ბელგიის პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანომ განმარტა, რომ ნაყოფზეც ვრცელდება მონაცემთა სუბიექტის სტატუსი და მისი პერსონალური მონაცემი დაცულია, შესაბამისად, მოქმედებს ევროკავშირის „მონაცემთა დაცვის ძირითადი რეგულაციით“ (“GDPR”) გათვალისწინებული გარანტიები. ამასთან, დადგინდა, რომ ფიზიოთერაპევტმა გადააჭარბა საავადმყოფოს მიერ მისთვის მინიჭებულ უფლებამოსილების ფარგლებს. შესაბამისად, იგი ერთპიროვნულად იქნა მიჩნეული დარღვევაზე პასუხისმგებელ პირად. მიუხედავად ამისა, საზედამხედველო ორგანომ შემთხვევა მონაცემთა უსაფრთხოების ჭრილში განიხილა და მიუთითა საავადმყოფოს ვალდებულებაზე, ზედამხედველობა გაუწიოს სამედიცინო პროგრამულ უზრუნველყოფაზე წვდომის მართვასა და მონაცემთა უსაფრთხოებას. ორგანომ მიიჩნია, რომ საავადმყოფომ ვერ დაამტკიცა ძირითად რეგულაციასთან შესაბამისობა, რადგან არ ჰქონდა დანერგილი შესაბამისი ტექნიკური და ორგანიზაციული ზომები უნებართვო წვდომის თავიდან აცილების მიზნით.

საზედამხედველო ორგანოს გადაწყვეტილება

საზედამხედველო ორგანომ დაადგინა, რომ საავადმყოფოს მიერ დაირღვა ევროკავშირის „მონაცემთა დაცვის ძირითადი რეგულაციის“ (“GDPR”) მე-5 მუხლის პირველი პუნქტის „ვ“ ქვეპუნქტი (უსაფრთხოება და კონფიდენციალობა), მე-5 მუხლის მე-2 პუნქტი (ანგარიშვალდებულება), 24-ე მუხლი (დამუშავებისთვის პასუხისმგებელი პირის პასუხისმგებლობა) და 32-ე მუხლი მონაცემთა დამუშავების უსაფრთხოება). აქედან გამომდინარე, საზედამხედველო ორგანომ სამედიცინო დაწესებულებას შენიშვნა გამოუცხადა.

[1]APD/GBA (Belgium) - 209/2025, <https://gdprhub.eu/index.php?title=APD%2FGBA_%28Belgium%29_-_209%2F2025> [13.01.2026].